Cette page explique comment créer les comptes de service Google Cloud requis pour le fonctionnement d'Apigee hybrid.
Créer les comptes de service
Apigee hybrid utilise des comptes de service Google Cloud pour permettre aux composants hybrides de communiquer en effectuant des appels d'API autorisés.
Au cours de cette étape, vous allez créer un ensemble de comptes de service et télécharger la clé privée du compte de service à l'aide d'un outil de ligne de commande Apigee hybrid.
Dans un environnement hybride de production, Apigee recommande d'utiliser un compte de service distinct pour chaque composant. Pour les besoins de ce tutoriel, vous pouvez créer un compte de service unique nommé "apigee-non-prod" que vous pouvez utiliser pour tous les composants.
Pour en savoir plus sur les comptes de service et obtenir la liste complète des comptes de service recommandés pour les environnements de production, consultez les pages suivantes :
Apigee fournit l'outil create-service-account
, qui permet, en une seule commande, de créer des comptes de service, de leur attribuer les rôles nécessaires, puis de créer et de télécharger les fichiers de clé de ces comptes.
- Pour en savoir plus sur
create-service-account
et sur toutes ses options, consultez la pagecreate-service-account
. - Pour en savoir plus sur les concepts Google Cloud associés, consultez les pages Créer et gérer des comptes de service et Créer et gérer les clés de comptes de service.
- Assurez-vous que les variables d'environnement HYBRID_FILES et HYBRID_FILES sont définies.
PROJECT_ID doit être défini sur votre ID de projet Google Cloud, car l'outil
create-service-account
lit la variable d'environnement PROJECT_ID pour créer les comptes de service dans le projet approprié.echo $HYBRID_FILES
echo $PROJECT_ID
-
Créez un compte de service non-prod à l'aide de la commande suivante. Cette commande crée un seul compte de service nommé
apigee-non-prod
pour l'utiliser dans des environnements hors production et place le fichier de clé téléchargé dans le répertoire$HYBRID_FILES/service-accounts
.$HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts
Lorsque l'invite suivante s'affiche, saisissez y :
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
Si c'est la première fois que vous créez une association de sécurité avec un nom particulier, l'outil le crée sans invite supplémentaire.
Toutefois, si le message et l'invite suivants s'affichent, saisissez y pour générer de nouvelles clés :
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not deactivate existing keys) Press: n to skip generating new keys.
-
Vérifiez que la clé du compte de service a été créée à l'aide de la commande suivante. Vous avez la responsabilité de stocker ces clés privées en lieu sûr. Les noms de fichiers de clés commencent par le nom de votre projet Google Cloud.
ls $HYBRID_FILES/service-accounts
Le résultat doit se présenter sous la forme suivante :
project_id-apigee-non-prod.json
Vous avez à présent créé des comptes de service et attribué les rôles nécessaires aux composants Apigee hybrid. Ensuite, créez les certificats TLS requis par la passerelle d'entrée hybride.
1 2 3 4 (SUITE) Étape 5 : Créer des certificats TLS 6 7 8 9 10